JP2007074383A - Information system - Google Patents

Information system Download PDF

Info

Publication number
JP2007074383A
JP2007074383A JP2005259359A JP2005259359A JP2007074383A JP 2007074383 A JP2007074383 A JP 2007074383A JP 2005259359 A JP2005259359 A JP 2005259359A JP 2005259359 A JP2005259359 A JP 2005259359A JP 2007074383 A JP2007074383 A JP 2007074383A
Authority
JP
Japan
Prior art keywords
information
packet
traffic
limit value
transmitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005259359A
Other languages
Japanese (ja)
Inventor
Kazuya Kubo
和也 久保
Nobuo Okabe
宣夫 岡部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2005259359A priority Critical patent/JP2007074383A/en
Priority to PCT/JP2006/312236 priority patent/WO2007029396A1/en
Publication of JP2007074383A publication Critical patent/JP2007074383A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an information system capable of quickly and surely detecting and coping with an illegitimate access. <P>SOLUTION: The information system discriminates whether or not traffic related to packet information transmitted from a switch 10 is abnormal on the basis of index information denoting features of the traffic in an ordinary operation and controls the transfer rate of a communication port of the switch 10 with relative to the traffic discriminated to be abnormal. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、情報システムに関し、特に、ネットワーク上を流れるトラフィックの監視を行う情報システムに関する。   The present invention relates to an information system, and more particularly to an information system that monitors traffic flowing on a network.

インターネット等のオープンな情報ネットワークの普及に伴い、悪意ある者による不正侵入やサービス不能攻撃(Dos Attack:Denial Of Service Attack)等の不正アクセスが、セキュリティ上の問題となっている。従来の情報ネットワークにおいては、上記したセキュリティ上の問題に対し、ファイアウォール(Firewall)等のアクセス制御を行うことが可能な装置をネットワーク経路上に設けることで、不正アクセスを防いでいる(例えば、特許文献1参照)。   With the spread of open information networks such as the Internet, unauthorized access such as unauthorized intrusion and denial of service attack (Dos Attack) by malicious persons has become a security problem. In a conventional information network, unauthorized access is prevented by providing a device that can perform access control such as a firewall on the network path in response to the above-described security problems (for example, patents). Reference 1).

以下、図10〜図12を参照して、従来の情報システム100のネットワーク構成を説明する。
図10に示すように、情報システム100は、内部ネットワークLANにおいてネットワークセグメントを構成し、各端末20から送信されるパケットを転送するスイッチ10a、10b及び10cと、内部ネットワークLANと外部ネットワークWANとの間におけるパケットの送受信を制御(アクセスコントロール)するファイアウォールFW、内部ネットワークLAN、外部ネットワークWAN間のパケット転送を中継するルータ30から構成されており、内部ネットワークLAN及び外部ネットワークWANは、ネットワークNを介して相互に通信可能に接続されている。なお、スイッチ内に示された矩形は当該スイッチが有する物理的な通信ポートを意味しており、矩形内の数値は各ポートを識別するための識別番号を意味している。 Hereinafter, the network configuration of the conventional information system 100 will be described with reference to FIGS.
As shown in FIG. 10, the information system 100 includes a switch 10a, 10b, and 10c that configures a network segment in the internal network LAN and transfers packets transmitted from each terminal 20, and the internal network LAN and the external network WAN. A firewall FW that controls packet transmission / reception (access control), an internal network LAN, and a router 30 that relays packet transfer between external networks WAN. The internal network LAN and external network WAN are connected via a network N. So that they can communicate with each other. In addition, the rectangle shown in the switch means the physical communication port which the said switch has, and the numerical value in a rectangle means the identification number for identifying each port.

図11は、情報システム100のファイアウォールFWにより不正アクセスの検知が行われる際の動作を示したフローチャートである。
ファイアウォールFWは、外部ネットワークWANから送信されたパケットを受信すると(ステップS61)、内部ネットワークLAN−外部ネットワークWAN間におけるセキュリティポリシーが予め規定されたアクセスコントロールテーブル(例えば、送信元及び/又は送信先機器のIPアドレスやTCP/UDPポート番号等を対応付けたテーブル)を参照し(ステップS62)、このパケットに係る一連のトラフィックが許可されたものか否かを判定する(ステップS63)。ここで、許可されていない異常な通信と判定した場合には(ステップS13;No)、このパケットを破棄し(ステップS64)、本処理は終了する。一方、許可された正常なトラフィックと判定した場合には(ステップS63;Yes)、このパケットを内部ネットワークに転送し(ステップS65)、本処理は終了する。 FIG. 11 is a flowchart illustrating an operation when unauthorized access is detected by the firewall FW of the information system 100.
When the firewall FW receives a packet transmitted from the external network WAN (step S61), the firewall FW has an access control table (for example, a transmission source and / or a transmission destination device) in which a security policy between the internal network LAN and the external network WAN is defined in advance. (Table in which IP addresses, TCP / UDP port numbers, and the like are associated with each other) are determined (Step S62), and it is determined whether or not a series of traffic related to this packet is permitted (Step S63). If it is determined that the communication is not permitted and abnormal (step S13; No), the packet is discarded (step S64), and the process ends. On the other hand, when it is determined that the permitted traffic is normal (step S63; Yes), the packet is transferred to the internal network (step S65), and the process ends.

また、情報システム100に接続された各端末20に不正アクセスを検知する不正検知ソフトウェアを導入することにより、ネットワークの末端において不正アクセスの検知を行うネットワークシステムが提案されている(例えば、特許文献2参照)。   Further, a network system that detects unauthorized access at the end of the network by introducing unauthorized detection software that detects unauthorized access to each terminal 20 connected to the information system 100 has been proposed (for example, Patent Document 2). reference).

図12は、情報システム100の各端末20により不正アクセスの検知が行われる際の動作を示したフローチャートである。
端末20は、スイッチ10a、10b又は10cからパケットを受信すると(ステップS71)、このパケットに係るトラフィックに異常があるか否かを判定する(ステップS72)。ここで、異常ありと判定した場合には(ステップS72;No)、このパケットを破棄し(ステップS73)、本処理は終了する。一方、異常なしと判定した場合には(ステップS72;Yes)、このパケットに基づいて所定の処理を実行し(ステップS74)、本処理は終了する。 FIG. 12 is a flowchart showing an operation when unauthorized access is detected by each terminal 20 of the information system 100.
When the terminal 20 receives a packet from the switch 10a, 10b, or 10c (step S71), the terminal 20 determines whether or not there is an abnormality in the traffic related to the packet (step S72). Here, when it is determined that there is an abnormality (step S72; No), this packet is discarded (step S73), and this process ends. On the other hand, when it is determined that there is no abnormality (step S72; Yes), predetermined processing is executed based on this packet (step S74), and this processing ends.

一方、工場施設等のプラントの制御に係るプラント情報システムの分野においても、近年TCP/IP技術を用いた情報の送受信が行われるようになってきており、上述した情報システム同様のセキュリティ上の問題が懸念されている。特に、プラント情報システムにおいては、生産停止等の経済的な損失が甚大となるため可用性の維持は必須事項となっている。
特開2005−124055号公報 特開2004−54470号公報 On the other hand, also in the field of plant information systems related to plant control such as factory facilities, information transmission / reception using TCP / IP technology has recently been performed, and security problems similar to the information systems described above are being used. There are concerns. In particular, in a plant information system, maintenance of availability is indispensable because economic loss such as production stoppage is significant.
JP 2005-124055 A JP 2004-54470 A

しかしながら、従来のファイアウォールを用いたシステム構成では、内部ネットワークLAN−外部ネットワークWAN間を通過するトラフィックのみがアクセス制御対象となるため、内部ネットワークLAN内で発生する不正アクセスを検知することができず、不正アクセスに対応することができないため、システムの可用性を維持することが困難である。   However, in the system configuration using the conventional firewall, since only traffic passing between the internal network LAN and the external network WAN is subject to access control, unauthorized access occurring in the internal network LAN cannot be detected. Since it is impossible to deal with unauthorized access, it is difficult to maintain system availability.

また、端末にて不正アクセスの検知を行う構成では、各端末に不正アクセス検知ソフトウェアを導入する必要があるため、コストが増大するという問題がある。また、各端末の計算資源に制限があるため、不正アクセスを検知する機能を追加することが困難である場合がある。また、不正アクセスが検知された端末の物理的位置(どこのスイッチのどの通信ポートに接続されているか)を判定できず、その対応が遅れる可能性があるため、システムの可用性を維持することが困難である。   In addition, in the configuration in which unauthorized access is detected at a terminal, it is necessary to install unauthorized access detection software on each terminal, which increases the cost. In addition, since the computing resources of each terminal are limited, it may be difficult to add a function for detecting unauthorized access. In addition, the physical location of the terminal where unauthorized access is detected (which communication port of which switch is connected) cannot be determined, and the response may be delayed, so system availability can be maintained. Have difficulty.

さらに、上述したファイアウォール等の従来技術は、単独或いは限られたセッションのみのパケットに基づいて不正アクセスか否かを判断するため、内部ネットワークLANに設けられた無線機器等のアクセスポイントや、スイッチの入り口(バックドア)を介してして不正アクセスが行われたことを検知することができず、内部ネットワーク内で行われる不正アクセスに対しては有効な手法とはなりえない。そのため、無線アクセスポイント等の内部ネットワーク内の入り口(バックドア)からの侵入トラフィックを含む各端末間のトラフィックを監視する必要があるが、不特定の端末から不定期に送受信が行われるような動的なトラフィック環境を有するオフィス等の一般の情報システムにおいては、その動的なトラフィック特性により、異常と判断する際の指標の確率が困難であるため、異常か否かの判断を有効に行うことができないという問題がある。   Furthermore, the conventional technology such as the firewall described above determines whether or not the unauthorized access is based on a packet of a single or limited session, so that an access point such as a wireless device provided in the internal network LAN, or a switch It cannot be detected that unauthorized access has been made through the entrance (back door), and cannot be an effective method for unauthorized access within the internal network. For this reason, it is necessary to monitor traffic between terminals, including intrusion traffic from the entrance (back door) in an internal network such as a wireless access point. However, operations that cause irregular transmission / reception from unspecified terminals. In general information systems such as offices that have a typical traffic environment, it is difficult to determine the probability of an index when judging an abnormality due to its dynamic traffic characteristics. There is a problem that can not be.

本発明の課題は、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能な情報システムを提供することである。   An object of the present invention is to provide an information system capable of quickly and reliably detecting and responding to unauthorized access.

上記課題を解決するために、請求項1に記載の発明は、
複数の通信ポートに夫々接続される一又は複数の端末から送信されたパケットを他の端末に転送するスイッチング手段と、前記送信されたパケットに関するパケット情報を生成するパケット情報生成手段と、前記生成されたパケット情報を送信するパケット情報送信手段とを備えたネットワーク機器と、前記ネットワーク機器から送信されたパケット情報を記憶するトラフィック収集サーバと、を有した情報システムであって、
前記収集サーバは、定常運用時におけるトラフィックの特徴を示した指標情報を記憶する指標情報記憶手段と、前記記憶された指標情報と前記受信されたパケット情報とに基づいて当該パケット情報に係るトラフィックが異常か否かを判別する異常判別手段と、前記異常判別手段により異常と判別されたトラフィックに係るネットワーク機器の通信ポートの転送速度を変更する指示情報を生成し、当該ネットワーク機器に送信する異常対応手段と、を備え、
前記転送手段は、前記異常対応手段からの指示情報に基づいて、当該指示情報で指示された前記通信ポートの転送速度を制御することを特徴としている。 In order to solve the above-mentioned problem, the invention described in claim 1
Switching means for transferring packets transmitted from one or a plurality of terminals respectively connected to a plurality of communication ports to other terminals, packet information generating means for generating packet information relating to the transmitted packets, and the generated An information system comprising: a network device provided with packet information transmitting means for transmitting the packet information; and a traffic collection server for storing packet information transmitted from the network device,
The collection server stores index information storage means for storing index information indicating characteristics of traffic during normal operation, and traffic related to the packet information based on the stored index information and the received packet information. An abnormality determination unit that determines whether or not there is an abnormality, and an abnormality response that generates instruction information for changing the transfer speed of the communication port of the network device related to the traffic determined to be abnormal by the abnormality determination unit, and transmits the instruction information to the network device Means, and
The transfer means controls the transfer speed of the communication port indicated by the instruction information based on the instruction information from the abnormality handling means.

更に、請求項2に記載の発明は、請求項1に記載の発明において、
前記収集サーバは、前記記憶された複数のパケット情報から前記指標情報を生成し、前記指標情報記憶手段に記憶させるトラフィック解析手段を備えたことを特徴としている。 Furthermore, the invention according to claim 2 is the invention according to claim 1,
The collection server includes a traffic analysis unit that generates the index information from the stored packet information and stores the index information in the index information storage unit.

更に、請求項3に記載の発明は、請求項1又は2に記載の発明において、
前記パケット情報は、当該パケット情報を生成したネットワーク機器の識別情報、当該ネットワーク機器においてパケットが送信及び/又は受信された通信ポートの識別情報、前記パケットの送信元端末及び受信先端末の識別情報、前記パケットのパケットサイズ、前記パケットのヘッダ部に含まれたヘッダ情報、前記パケット情報の生成日時を示すタイムスタンプ、前記パケットのプロトコル種別に関する情報を少なくとも含むことを特徴としている。 Furthermore, the invention according to claim 3 is the invention according to claim 1 or 2,
The packet information includes identification information of a network device that has generated the packet information, identification information of a communication port in which the packet is transmitted and / or received in the network device, identification information of a transmission source terminal and a reception destination terminal of the packet, It includes at least information on a packet size of the packet, header information included in a header portion of the packet, a time stamp indicating a generation date and time of the packet information, and a protocol type of the packet.

更に、請求項4に記載の発明は、請求項1に記載の発明において
前記指標情報は、前記ネットワーク機器における特定の通信ポートにおいて送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の通信ポートにおいてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値、特定の通信ポートに接続される前記端末の識別情報の何れか又は全てを含むことを特徴としている。 Furthermore, the invention according to claim 4 is the invention according to claim 1, wherein the index information is an upper limit value and / or a lower limit value of the number of packets transmitted and / or received at a specific communication port in the network device. Including any or all of an upper limit value and / or a lower limit value of a transfer rate when a packet is transmitted and / or received at a specific communication port, and identification information of the terminal connected to the specific communication port. It is a feature.

更に、請求項5に記載の発明は、請求項1又は4に記載の発明において
前記指標情報は、前記複数の端末のうち、特定の端末間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、前記特定の端末間においてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値の何れか又は全てを含むことを特徴としている。 Furthermore, the invention according to claim 5 is the invention according to claim 1 or 4, wherein the index information is an upper limit value of the number of packets transmitted and / or received between specific terminals among the plurality of terminals. And / or a lower limit value, and any or all of an upper limit value and / or a lower limit value of a transfer rate when a packet is transmitted and / or received between the specific terminals.

更に、請求項6に記載の発明は、請求項1、4又は5に記載の発明において、
前記指標情報は、前記複数の端末間のうち、特定の端末間において予め定められた前記パケットの送信及び/又は受信に関する設定を含むことを特徴としている。 Furthermore, the invention according to claim 6 is the invention according to claim 1, 4 or 5,
The index information includes a setting related to transmission and / or reception of the packet predetermined between specific terminals among the plurality of terminals.

更に、請求項7に記載の発明は、請求項1に記載の発明において、
前記ネットワーク機器は、前記端末から送信されたパケットから一のパケットを所定のタイミング毎に抽出するパケットサンプリング手段を備え、
前記パケット情報生成手段は、前記抽出されたパケットのパケット情報を生成することを特徴としている。 Further, the invention according to claim 7 is the invention according to claim 1,
The network device comprises a packet sampling means for extracting one packet from a packet transmitted from the terminal at a predetermined timing,
The packet information generation means generates packet information of the extracted packet.

請求項1に記載の発明によれば、定常運用時におけるトラフィックの特徴を示した指標情報に基づいて、ネットワーク機器から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るネットワーク機器の通信ポートの転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能であるため、システムの可用性を維持することができる。   According to the first aspect of the present invention, it is determined whether or not the traffic related to the packet information transmitted from the network device is abnormal based on the index information indicating the characteristics of the traffic during normal operation, and is determined as abnormal. The transfer speed of the communication port of the network device related to the traffic is controlled. Thereby, since it is possible to detect and respond to unauthorized access quickly and reliably, the availability of the system can be maintained.

請求項2に記載の発明によれば、指標情報を複数のパケット情報から生成する。これにより、本情報システムが適用されるネットワークのトラフィック環境に応じた指標情報を生成することができる。   According to the invention described in claim 2, the index information is generated from a plurality of pieces of packet information. Thereby, the index information according to the traffic environment of the network to which the information system is applied can be generated.

請求項3に記載の発明によれば、パケット情報に、当該パケット情報を生成したネットワーク機器の識別情報、このネットワーク機器においてパケットが送信及び/又は受信された通信ポートの識別情報、パケットの送信元及び受信先端末の識別情報、前記パケットのパケットサイズ、前記パケットのヘッダ部に含まれたヘッダ情報、前記パケットの生成日時を示すタイムスタンプ、前記パケットのプロトコル種別に関する情報を少なくとも含めることができる。   According to the third aspect of the present invention, the packet information includes the identification information of the network device that generated the packet information, the identification information of the communication port at which the packet is transmitted and / or received in the network device, and the transmission source of the packet And identification information of the receiving terminal, the packet size of the packet, header information included in the header of the packet, a time stamp indicating the generation date and time of the packet, and information regarding the protocol type of the packet.

請求項4に記載の発明によれば、前記ネットワーク機器における特定の通信ポートにおいて送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の通信ポートにおいてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値、特定の通信ポートに接続される前記端末の識別情報の何れか又は全てに基づいて,トラフィックが異常か否かを判断することができる。   According to the fourth aspect of the present invention, the upper limit value and / or lower limit value of the number of packets transmitted and / or received at a specific communication port in the network device, and packets are transmitted and / or received at the specific communication port. Whether or not the traffic is abnormal can be determined based on any or all of the upper limit value and / or lower limit value of the transfer rate and the identification information of the terminal connected to the specific communication port.

請求項5に記載の発明によれば、特定の端末間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、前記特定の端末間においてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値の何れか又は全てに基づいて、トラフィックが異常か否かを判断することができる。   According to the fifth aspect of the present invention, when an upper limit value and / or a lower limit value of the number of packets transmitted and / or received between specific terminals is transmitted and / or received between the specific terminals. Whether or not the traffic is abnormal can be determined based on any or all of the upper limit value and / or the lower limit value of the transfer rate.

請求項6に記載の発明によれば、複数の端末間において予め定められたパケットの送信及び/又は受信に関する設定に基づいて、トラフィックが異常か否かを判断することができる。   According to the sixth aspect of the present invention, it is possible to determine whether or not the traffic is abnormal based on a setting relating to transmission and / or reception of a predetermined packet among a plurality of terminals.

請求項7に記載の発明によれば、所定のタイミング毎に抽出した一のパケットに基づいて、パケット情報を生成することができるため、ネットワーク機器にかかる負荷を抑えることができる。   According to the seventh aspect of the present invention, since packet information can be generated based on one packet extracted at every predetermined timing, the load on the network device can be suppressed.

以下、図面を参照して本発明を実施するための最良の形態について詳細に説明する。ただし、発明の範囲は図示例に限定されないものとする。   The best mode for carrying out the present invention will be described below in detail with reference to the drawings. However, the scope of the invention is not limited to the illustrated examples.

<第1の実施形態>
まず、図1を参照して本実施形態における情報システム100の構成を説明する。なお、本実施形態における情報システム100は、プラントの稼働監視や、制御を行うプラント情報システムであるものとし、内部ネットワークLAN内のスイッチ10a、10b又は10cに接続される端末(ノード)20は、プラント内に設置されたフィールド機器や、当該フィールド機器から出力される各種プラントデータの収集や稼働監視を行うPC(Personal Computer)やサーバ等であるものとする。ここでフィールド機器とは、温度センサ、圧力センサ、流量センサ等の計測機器と、バルブ開閉器や火力調整器等の調整機器を含む意であって、当該フィールド機器により計測される計測量や、調整の度合いを示す調整量等のプロセス量がプロセスデータとして出力される。 <First Embodiment>
First, the configuration of the information system 100 in the present embodiment will be described with reference to FIG. The information system 100 in this embodiment is a plant information system that performs plant operation monitoring and control, and a terminal (node) 20 connected to the switch 10a, 10b, or 10c in the internal network LAN is: It is assumed that the device is a field device installed in a plant, a PC (Personal Computer) or a server that collects various plant data output from the field device and performs operation monitoring. Here, the field device means a measuring device such as a temperature sensor, a pressure sensor, a flow rate sensor, and an adjusting device such as a valve switch or a thermal power adjuster, and a measurement amount measured by the field device, A process amount such as an adjustment amount indicating the degree of adjustment is output as process data.

図1に示すとおり、情報システム100は、内部ネットワークLANにおいてネットワークセグメントを構成し、各端末20において送信されたパケットを他の端末20に転送するとともに、当該パケットに係る統計情報を生成し送信するスイッチ10a、10b及び10c(以下、スイッチ10a、10b及び10cを総じてスイッチ10という)と、内部ネットワークLAN、外部ネットワークWAN間のパケット転送を中継するルータ30と、スイッチ10から送信された統計情報を受信し、管理するトラフィック収集サーバ40等から構成される。内部ネットワークLANと外部ネットワークWANとは、ネットワークNを介して相互に通信可能に接続されている。なお、情報システム100上での通信は、TCP/IP技術に準拠した形式で行われるものとし、その形式はIPv4、IPv6の何れかであってもよいものとする。また、IPSec(Security Architecture for Internet Protocol)等の暗号化通信がなされることとしてもよい。   As shown in FIG. 1, the information system 100 forms a network segment in the internal network LAN, transfers a packet transmitted from each terminal 20 to other terminals 20, and generates and transmits statistical information related to the packet. Statistical information transmitted from the switches 10a, 10b, and 10c (hereinafter, the switches 10a, 10b, and 10c are collectively referred to as the switch 10), the router 30 that relays packet transfer between the internal network LAN and the external network WAN, and the switch 10 It comprises a traffic collection server 40 etc. that receives and manages. The internal network LAN and the external network WAN are connected via a network N so that they can communicate with each other. Note that communication on the information system 100 is performed in a format compliant with the TCP / IP technology, and the format may be either IPv4 or IPv6. Further, encrypted communication such as IPSec (Security Architecture for Internet Protocol) may be performed.

ここで、情報システム100内に含まれる各機器には、夫々固有のIPアドレスが付与されており、各機器間はTCP/IP技術に基づいて情報の送受信が可能となっている。なお、各スイッチ10内に示された矩形は当該スイッチが有する物理的な通信ポートを意味しており、矩形内の数値は各通信ポートを識別するための識別番号を意味している。   Here, each device included in the information system 100 is assigned a unique IP address, and information can be transmitted and received between the devices based on the TCP / IP technology. In addition, the rectangle shown in each switch 10 means the physical communication port which the said switch has, and the numerical value in a rectangle means the identification number for identifying each communication port.

図2は、スイッチ10の内部構成を示した図である。
同図に示すとおり、スイッチ10は、パケットサンプリング手段11、パケット情報生成手段12、パケット情報送信手段13、スイッチング手段14等を有して構成される。 FIG. 2 is a diagram illustrating an internal configuration of the switch 10.
As shown in the figure, the switch 10 includes a packet sampling unit 11, a packet information generation unit 12, a packet information transmission unit 13, a switching unit 14, and the like.

パケットサンプリング手段11は、端末20から送信される複数のパケットから、一のパケットを所定のタイミング(例えば、500パケットに1パケット)で抽出(サンプリング)し、パケット情報生成手段12に出力する。なお、パケットサンプリング手段11にて抽出されなかった他のパケットに関しては、当該パケットサンプリング手段11を介してスイッチング手段14に出力されるようになっている。   The packet sampling unit 11 extracts (samples) one packet from a plurality of packets transmitted from the terminal 20 at a predetermined timing (for example, one packet per 500 packets), and outputs it to the packet information generation unit 12. Note that other packets not extracted by the packet sampling unit 11 are output to the switching unit 14 via the packet sampling unit 11.

パケット情報生成手段12は、パケットサンプリング手段11から入力されたパケットに関するパケット情報を生成しパケット情報送信手段13に出力するとともに、パケットサンプリング手段11から入力されたパケットをパケット情報送信手段13に出力する。   The packet information generation unit 12 generates packet information relating to the packet input from the packet sampling unit 11 and outputs the packet information to the packet information transmission unit 13, and outputs the packet input from the packet sampling unit 11 to the packet information transmission unit 13. .

ここで、パケット情報はパケットのヘッダ部に含まれた情報等に基づいて生成される情報であって、当該パケット情報を生成したスイッチ10のIP(Internet Protocol)アドレス、このスイッチ10においてパケットを送信及び/又は受信した通信ポートの通信ポート識別番号、このパケットの送信元及び受信先端末のIPアドレス及びMAC(Media Access Control)アドレス、前記パケットのパケットサイズ、前記パケットのヘッダ部に含まれたIPヘッダ情報、前記パケットの生成日時を示すタイムスタンプ、前記パケットのプロトコル種別(TCP/UDPポート番号)に関する情報等を含むものとする。また、パケット情報は、スイッチ10(各通信ポート)の稼働状態を示した統計情報を含むこととしてもよい。ここで統計情報とは、SNMP(Simple Network Management Protocol)等のトラフィック監視技術に準拠したMIB(Management Information Base)等の管理情報データベースに基づいて生成される情報であって、本実施の形態では、パケット情報生成手段12により生成されるものとする。   Here, the packet information is information generated based on information included in the header portion of the packet, and the IP (Internet Protocol) address of the switch 10 that generated the packet information, and the switch 10 transmits the packet. And / or the communication port identification number of the received communication port, the IP address and MAC (Media Access Control) address of the source and destination terminals of this packet, the packet size of the packet, and the IP included in the header of the packet It includes header information, a time stamp indicating the generation date and time of the packet, information on the protocol type (TCP / UDP port number) of the packet, and the like. The packet information may include statistical information indicating the operating state of the switch 10 (each communication port). Here, the statistical information is information generated based on a management information database such as MIB (Management Information Base) conforming to traffic monitoring technology such as SNMP (Simple Network Management Protocol). In the present embodiment, It is generated by the packet information generation means 12.

パケット情報送信手段13は、パケット情報生成手段12で生成されたパケット情報をトラフィック収集サーバ40に送信するとともに、パケット情報生成手段12から入力されたパケットをスイッチング手段14に出力する。なお、上記したパケット情報の送信(収集)に係る一連の仕組みとしては、sFlow(RFC3176)やNetFlow(登録商標)等の規約に準拠した技術を用いることができる。   The packet information transmission unit 13 transmits the packet information generated by the packet information generation unit 12 to the traffic collection server 40 and outputs the packet input from the packet information generation unit 12 to the switching unit 14. In addition, as a series of mechanisms related to the transmission (collection) of packet information described above, a technology based on rules such as sFlow (RFC3176) and NetFlow (registered trademark) can be used.

スイッチング手段14は、パケットサンプリング手段11及びパケット情報送信手段13から入力されたパケットのヘッダ部(イーサネット(登録商標)ヘッダ、IPヘッダ及びTCPヘッダ)に含まれる各種情報に基づいて、受信先端末へと転送する。この際に、受信先端末又は当該受信先端末に転送可能な他のスイッチに接続された通信ポートを介して転送が行われるものとする。   The switching unit 14 sends the packet to the receiving terminal based on various information included in the header part (Ethernet (registered trademark) header, IP header, and TCP header) of the packet input from the packet sampling unit 11 and the packet information transmission unit 13. And forward. At this time, it is assumed that the transfer is performed via a communication port connected to the receiving terminal or another switch that can transfer to the receiving terminal.

また、スイッチング手段14は、後述するトラフィック監視処理において、トラフィック収集サーバ40の異常対応手段47から送信される指示情報に基づいて、当該指示情報で指示された通信ポートの転送速度を制御する。   The switching unit 14 controls the transfer speed of the communication port indicated by the instruction information based on the instruction information transmitted from the abnormality handling unit 47 of the traffic collection server 40 in the traffic monitoring process described later.

次に、図3を参照してトラフィック収集サーバ40について説明する。
図3は、トラフィック収集サーバ40の内部構成を示した図である。
同図に示すとおり、トラフィック収集サーバ40は、制御手段41、表示手段42、操作手段43、記憶手段44、トラフィック解析手段45、異常判別手段46、異常対応手段47、通信手段48等を有して構成されており、各部は制御バス49を介して接続されている。 Next, the traffic collection server 40 will be described with reference to FIG.
FIG. 3 is a diagram showing an internal configuration of the traffic collection server 40.
As shown in the figure, the traffic collection server 40 has control means 41, display means 42, operation means 43, storage means 44, traffic analysis means 45, abnormality determination means 46, abnormality response means 47, communication means 48, and the like. Each part is connected via a control bus 49.

制御手段41は、不図示のCPU(Central Processing Unit)、RAM(Random Access Memory)等から構成され、記憶手段44に記憶された各種制御プログラムを読み出してRAM内に形成されたワークメモリに展開し、該制御プログラムに従って、各部の動作を集中制御する。また、制御手段41は、RAMに展開した制御プログラムとの協働により、後述するトラフィック監視処理を実行する。   The control means 41 is composed of a CPU (Central Processing Unit), a RAM (Random Access Memory), etc. (not shown), reads various control programs stored in the storage means 44, and develops them in a work memory formed in the RAM. The operation of each unit is centrally controlled according to the control program. Further, the control means 41 executes a traffic monitoring process to be described later in cooperation with a control program developed in the RAM.

表示手段42は、LCD(Liquid Crystal Display)やELD(Electro Luminescence Display)パネル等により構成され、制御手段41から入力される表示データに基づいて画面表示を行う。   The display means 42 is configured by an LCD (Liquid Crystal Display), an ELD (Electro Luminescence Display) panel, or the like, and performs screen display based on display data input from the control means 41.

操作手段43は、文字入力キー,数字入力キーその他各種機能に対応付けられたキーを備えたキーボード、マウス等を含み、ユーザによる操作に応じた操作信号を制御手段41に出力する。   The operation unit 43 includes a keyboard, a mouse, and the like provided with a character input key, a numeric input key, and other keys associated with various functions, and outputs an operation signal corresponding to an operation by the user to the control unit 41.

記憶手段44は、プログラムやデータ等が予め記憶された記録媒体(不図示)を有し、この記録媒体は磁気的、光学的記録媒体、若しくは半導体等の不揮発性メモリで構成されている。記録媒体は、記憶手段44に固定的に設けたもの、若しくは着脱自在に装着するものであり、記録媒体にはトラフィック収集サーバ40に対応するシステムプログラム、該システムプログラム上で実行可能な各種処理プログラム、これらのプログラムで処理されたデータ等を記憶する。これらの各処理プログラムは、読み取り可能なプログラムコードの形態で格納され、制御手段41は、当該プログラムコードに従った動作を逐次実行する。   The storage means 44 has a recording medium (not shown) in which programs, data, and the like are stored in advance, and this recording medium is constituted by a magnetic or optical recording medium or a nonvolatile memory such as a semiconductor. The recording medium is fixedly provided in the storage means 44 or detachably mounted. The recording medium includes a system program corresponding to the traffic collection server 40 and various processing programs that can be executed on the system program. The data processed by these programs are stored. Each of these processing programs is stored in the form of a readable program code, and the control means 41 sequentially executes operations according to the program code.

また、記憶手段44の記憶媒体には、スイッチ10から送信されたパケット情報を、記憶・管理するためのデータベース441が構築されており、当該データベース441にパケット情報に含まれる各種情報が記憶(格納)される。なお、本実施の形態では、データベース441をトラフィック収集サーバ40内に備えた態様としたが、これに限らず、トラフィック収集サーバ40が接続可能な外部記憶手段にデータベース441を構築することとしてもよい。さらに、記憶手段44は、その記憶媒体に、トラフィック解析手段45により生成される指標情報442を記憶する。   In addition, a database 441 for storing and managing packet information transmitted from the switch 10 is constructed in the storage medium of the storage unit 44, and various types of information included in the packet information is stored (stored) in the database 441. ) In this embodiment, the database 441 is provided in the traffic collection server 40. However, the present invention is not limited to this, and the database 441 may be constructed in an external storage unit to which the traffic collection server 40 can be connected. . Further, the storage unit 44 stores the index information 442 generated by the traffic analysis unit 45 in the storage medium.

トラフィック解析手段45は、データベース441に記憶された複数のパケット情報を、統計的手法を用いて解析することにより、定常運用時におけるトラフィック(通信)の特徴を導出する。ここで、定常運用時とは、情報システム100内において、各装置により予め定められた動作(通信)が正常に行われた時を意味する。   The traffic analysis means 45 derives the characteristics of traffic (communication) during steady operation by analyzing a plurality of packet information stored in the database 441 using a statistical method. Here, the normal operation means a time when a predetermined operation (communication) is normally performed by each device in the information system 100.

具体的に、トラフィック解析手段45は、パケット情報に含まれた各種情報に基づいて、特定の通信ポートにおいて送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の通信ポートにおいてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値、特定の通信ポートに接続される端末20のMACアドレス及び/又はIPアドレス等の、定常運用時におけるスイッチ10の通信ポートに関する情報を定常運用時におけるトラフィックの特徴として導出する。   Specifically, the traffic analysis means 45 determines the upper limit value and / or lower limit value of the number of packets transmitted and / or received at a specific communication port based on various information included in the packet information, at the specific communication port. The upper limit value and / or lower limit value of the transfer rate when a packet is transmitted and / or received, the MAC address and / or IP address of the terminal 20 connected to a specific communication port, etc. Information related to communication ports is derived as traffic characteristics during normal operation.

また、トラフィック解析手段45は、パケット情報に含まれた各種情報に基づいて、特定の端末を示すMACアドレス又はIPアドレス間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の端末を示すMACアドレス又はIPアドレス間においてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値等の、定常運用時における通信フローに関する情報を定常運用時におけるトラフィックの特徴として導出する。   Further, the traffic analysis means 45 is based on various information included in the packet information, and an upper limit value and / or a lower limit value of the number of packets transmitted and / or received between the MAC address or IP address indicating a specific terminal, Information on the communication flow during normal operation, such as the upper limit value and / or lower limit value of the transfer rate when a packet is transmitted and / or received between a MAC address or IP address indicating a specific terminal. Derived as a feature of

さらに、トラフィック解析手段45は、導出された定常運用時におけるトラフィック特徴を含んだ指標情報442を生成し、この指標情報442を記憶手段44の記憶媒体に記憶させる。ここで指標情報442には、導出された種々の特徴が、当該特徴の諸条件(例えば、スイッチ10のIPアドレス、通信ポート識別番号、端末20のIPアドレス、MACアドレス等)と対応づけて記憶されているものとする。   Further, the traffic analysis unit 45 generates index information 442 including the derived traffic characteristics during normal operation, and stores the index information 442 in the storage medium of the storage unit 44. Here, the index information 442 stores various derived characteristics in association with various conditions of the characteristics (for example, the IP address of the switch 10, the communication port identification number, the IP address of the terminal 20, the MAC address, etc.). It is assumed that

また、内部ネットワークLANにおいて、特定の端末20間で所定のトラフィックが発生することが予定されているような場合には、このパケットの送信及び/又は受信に関する設定を指標情報442に含めることとしてもよい。例えば、特定の端末20間において、所定の間隔(例えば、1分間に1回)で通信が必ず行われることが予定されているような場合、この特定の端末を示すMACアドレス又はIPアドレス間での通信を許可する旨の設定、当該端末間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、当該端末間でパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値等を指標情報442に含めることができる。   In addition, in the internal network LAN, in a case where predetermined traffic is scheduled to occur between specific terminals 20, settings relating to transmission and / or reception of this packet may be included in the index information 442. Good. For example, when communication between the specific terminals 20 is scheduled to be performed at a predetermined interval (for example, once per minute), between the MAC address or IP address indicating the specific terminal Setting to permit communication, upper limit and / or lower limit of the number of packets transmitted and / or received between the terminals, upper limit of transfer rate when packets are transmitted and / or received between the terminals The index information 442 can include a value and / or a lower limit value.

なお、上記した指標情報442に含まれる各種情報の閾値(上限値及び/又は下限値)は、内部ネットワークLANの可用性の維持に影響を与えると想定される値が設定されることが好ましい。   In addition, it is preferable that the threshold value (upper limit value and / or lower limit value) of various information included in the index information 442 is set to a value that is assumed to affect maintenance of the availability of the internal network LAN.

異常判別手段46は、記憶手段44の記録媒体に記憶された指標情報442と、後述する通信手段48を介して受信されたパケット情報と、を比較することにより当該パケット情報に係るトラフィックが異常か否かを判別する。なお、本実施の形態では、異常判別手段46の機能を、制御手段41と記憶手段44の記録媒体に予め記憶された所定のプログラムとの協働により実現させることとするが、ASIC(Application Specific Integrated Circuit)等の専用回路により実現させる態様としてもよい。   The abnormality determination unit 46 compares the index information 442 stored in the recording medium of the storage unit 44 with the packet information received via the communication unit 48 described later, thereby determining whether the traffic related to the packet information is abnormal. Determine whether or not. In the present embodiment, the function of the abnormality determination unit 46 is realized in cooperation with a predetermined program stored in advance in the recording medium of the control unit 41 and the storage unit 44. However, ASIC (Application Specific It may be realized by a dedicated circuit such as an integrated circuit.

異常対応手段47は、異常判別手段46により異常と判別されたトラフィックに係るスイッチ10の通信ポートの転送速度を変更する指示情報を生成し、当該スイッチ10に送信する。ここで、スイッチ10の転送速度を変更する手段としては、diffserv、IEEE802.lq、IPフィルタ等を用いることができる。なお、本実施の形態では、異常対応手段47の機能を、制御手段41と記憶手段44の記録媒体に予め記憶された所定のプログラムとの協働により実現させることとするが、ASIC等の専用回路により実現させる態様としてもよい。   The abnormality handling unit 47 generates instruction information for changing the transfer rate of the communication port of the switch 10 related to the traffic determined to be abnormal by the abnormality determination unit 46 and transmits the instruction information to the switch 10. Here, as means for changing the transfer rate of the switch 10, diffserv, IEEE802. lq, an IP filter, or the like can be used. In the present embodiment, the function of the abnormality handling means 47 is realized by cooperation with a predetermined program stored in advance in the recording medium of the control means 41 and the storage means 44. It is good also as an aspect implement | achieved by a circuit.

通信手段48は、ルータやTA(Terminal Adapter)、LANアダプタ等によって構成され、スイッチ10との間で授受される各種情報の通信制御を行う。   The communication unit 48 includes a router, a TA (Terminal Adapter), a LAN adapter, and the like, and performs communication control of various types of information exchanged with the switch 10.

次に、図4のフローチャートを参照して、スイッチ10で行われるパケット転送処理について説明する。
まず、一又は複数の端末20からパケットが夫々送信され、このパケットが通信ポートを介して受信されると(ステップS11)、パケットサンプリング手段11により、複数のパケットから一のパケットが所定のタイミング毎に抽出される(ステップS12)。 Next, packet transfer processing performed by the switch 10 will be described with reference to the flowchart of FIG.
First, a packet is transmitted from one or a plurality of terminals 20, and when this packet is received via a communication port (step S11), one packet from the plurality of packets is sent at predetermined timings by the packet sampling means 11. (Step S12).

ここで、パケットサンプリング手段11によりパケットの抽出が行われた場合には(ステップS13;Yes)、パケット情報生成手段12により当該パケットに関するパケット情報が生成された後(ステップS14)、このパケット情報がパケット情報送信手段13によりトラフィック収集サーバ40に送信される(ステップS15)。そして、パケットのヘッダ部に含まれた各種情報に基づいて、このパケットがスイッチング手段14により受信先端末へと転送され(ステップS16)、本処理は終了する。   Here, when the packet sampling unit 11 extracts a packet (step S13; Yes), the packet information generation unit 12 generates packet information about the packet (step S14). The packet information transmission unit 13 transmits the packet information to the traffic collection server 40 (step S15). And based on the various information contained in the header part of a packet, this packet is transferred to a receiving terminal by the switching means 14 (step S16), and this process is complete | finished.

一方、パケットサンプリング手段11によりパケットが抽出されなかった場合には(ステップS13;No)、当該パケットのヘッダ部に含まれた各種情報に基づいて、このパケットがスイッチング手段14により受信先端末へと転送され(ステップS16)、本処理は終了する。   On the other hand, when a packet is not extracted by the packet sampling means 11 (step S13; No), this packet is sent to the receiving terminal by the switching means 14 based on various information included in the header part of the packet. The process is terminated (step S16).

次に、図5を参照して、トラフィック収集サーバ40で行われるトラフィック監視処理について説明する。本実施形態のトラフィック監視処理は、指標情報442に含まれた特定の通信ポートにおいて受信されるパケット数の上限値(thresh_p(PPS:Packet Per Second))及び特定の通信ポートにおいてパケットが受信される際の転送速度の上限値(thresh_b(BPS:Bits Per Second))に基づいて行われる。なお、本トラフィック監視処理の各処理は、制御手段41と、不図示のRAMに展開された所定のプログラムとの協働により実行される処理を示している。   Next, a traffic monitoring process performed by the traffic collection server 40 will be described with reference to FIG. In the traffic monitoring process of the present embodiment, the upper limit value (thresh_p (PPS: Packet Per Second)) of packets received at a specific communication port included in the index information 442 and packets are received at a specific communication port. This is performed based on the upper limit value of transfer speed (thresh_b (BPS: Bits Per Second)). Each process of the traffic monitoring process is a process executed in cooperation with the control unit 41 and a predetermined program developed in a RAM (not shown).

まず、スイッチ10から送信されたパケット情報が通信手段48を介して受信されると(ステップS21)、このパケット情報から、当該パケット情報が生成されたスイッチ10のIPアドレス、このパケット情報に係るパケットが受信された通信ポートの通信ポート識別番号が取得されるとともに(ステップS22)、この通信ポートが受信したパケット数(Pkts_IN(PPS))及びパケットを受信した際の転送速度(Bytes_IN(BPS))に関する情報が取得される(ステップS23)。   First, when the packet information transmitted from the switch 10 is received via the communication means 48 (step S21), the IP address of the switch 10 from which the packet information is generated and the packet related to the packet information are received from the packet information. Is acquired (step S22), the number of packets received by this communication port (Pkts_IN (PPS)), and the transfer rate when the packets are received (Bytes_IN (BPS)) The information regarding is acquired (step S23).

次いで、ステップS22で取得されたスイッチ10のIPアドレス通信ポートの通信ポート識別番号に対応するパケット数の上限値(thresh_p)及び転送速度の上限値(thresh_b)が指標情報442から読み出されて(ステップS24)、パケット数(Pkts_IN)とパケット数の上限値(thresh_p)、転送速度(Bytes_IN)と転送速度の上限値(thresh_b)が夫々比較される(ステップS25)。   Next, the upper limit value (thresh_p) and the upper limit value (thresh_b) of the transfer rate corresponding to the communication port identification number of the IP address communication port of the switch 10 acquired in step S22 are read from the index information 442 ( In step S24, the number of packets (Pkts_IN) and the upper limit value (thresh_p) of the packet number, the transfer rate (Bytes_IN), and the upper limit value (thresh_b) of the transfer rate are respectively compared (step S25).

ここで、パケット数情報(Pkts_IN)がパケット数の上限値(thresh_p)以下で、且つ、転送速度情報(Bytes_IN)が転送速度の上限値(thresh_b)以下と判定された場合には(ステップS25;Yes)、本処理は終了する。   Here, when it is determined that the packet number information (Pkts_IN) is equal to or less than the upper limit value (thresh_p) of the packet number and the transfer rate information (Bytes_IN) is equal to or less than the upper limit value (thresh_b) of the transfer rate (step S25; Yes), this process ends.

一方、ステップS25において、パケット数(Pkts_IN)がパケット数の上限値(thresh_p)を上回る、或いは転送速度(Bytes_IN)が転送速度の上限値(thresh_b)を上回ると判定された場合には(ステップS25;No)、このパケット情報に係るトラフィックが異常と判別される(ステップS26)。そして、この異常と判別されたトラフィックに係る通信ポートを備えたスイッチ10に対して、この通信ポートの転送速度(転送帯域)を抑制或いは停止させる指示情報がスイッチ10に送信されるとともに(ステップS27)、このスイッチ10の通信ポートに接続された端末20から不正なアクセスが行われた旨を報知する画面が表示手段42に表示されて(ステップS28)、本処理は終了する。   On the other hand, if it is determined in step S25 that the number of packets (Pkts_IN) exceeds the upper limit value (thresh_p) of the number of packets or the transfer rate (Bytes_IN) exceeds the upper limit value (thresh_b) of the transfer rate (step S25). No), it is determined that the traffic related to the packet information is abnormal (step S26). Then, instruction information for suppressing or stopping the transfer speed (transfer band) of the communication port is transmitted to the switch 10 having the communication port related to the traffic determined to be abnormal (step S27). ), A screen for notifying that unauthorized access has been made from the terminal 20 connected to the communication port of the switch 10 is displayed on the display means 42 (step S28), and this process ends.

このように、スイッチ10の通信ポートに関する情報に基づいてパケット情報に係るトラフィックの異常判別を行うため、特定の端末20から定常運用時の上限値を上回るパケット数が送信された場合や、定常運用時の上限値を上回る転送速度が確認された場合に、この通信に係るトラフィックを異常と判別できるため、不正アクセスの検知を迅速且つ確実に行うことができる。   As described above, in order to determine the abnormality of the traffic related to the packet information based on the information about the communication port of the switch 10, when the number of packets exceeding the upper limit value in the normal operation is transmitted from the specific terminal 20, When the transfer rate exceeding the upper limit at the time is confirmed, the traffic related to this communication can be determined to be abnormal, so that unauthorized access can be detected quickly and reliably.

以上のように、本実施形態によれば、定常運用時におけるトラフィックの特徴を示した指標情報442に基づいて、スイッチ10から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るスイッチ10の通信ポートの転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能であるため、システムの可用性を維持することができる。   As described above, according to the present embodiment, whether or not the traffic related to the packet information transmitted from the switch 10 is abnormal is determined based on the index information 442 indicating the characteristics of traffic during normal operation. The transfer speed of the communication port of the switch 10 related to the determined traffic is controlled. Thereby, since it is possible to detect and respond to unauthorized access quickly and reliably, the availability of the system can be maintained.

<第2の実施形態>
次に、情報システム100の第2の実施形態について説明する。なお、説明の簡略化のため、上述した第1の実施形態と同一要素については同符号を付し、その詳細な説明は適宜省略する。 <Second Embodiment>
Next, a second embodiment of the information system 100 will be described. For simplification of description, the same elements as those in the first embodiment described above are denoted by the same reference numerals, and detailed description thereof is omitted as appropriate.

図6は、本実施形態のトラフィック収集サーバ40で行われるトラフィック監視処理の手順を示した図である。本実施形態のトラフィック監視処理は、指標情報442に含まれた特定の通信ポートに接続される端末20のMACアドレス(MAC_RefAddr)及びIPアドレス(IP_RefAddr)、特定の通信ポートにおいて受信されるパケット数の下限値(thresh_min_p(PPS)、特定の通信ポートにおいてパケットが受信される際の転送速度の下限値(thresh_min_b(BPS))に基づいて行われる。なお、本トラフィック監視処理の各処理は、制御手段41と、不図示のRAMに展開された所定のプログラムとの協働により実行される処理を示している。   FIG. 6 is a diagram showing a procedure of traffic monitoring processing performed in the traffic collection server 40 of this embodiment. The traffic monitoring process of the present embodiment includes the MAC address (MAC_RefAddr) and IP address (IP_RefAddr) of the terminal 20 connected to the specific communication port included in the index information 442, and the number of packets received at the specific communication port. The processing is performed based on the lower limit value (thresh_min_p (PPS) and the lower limit value (thresh_min_b (BPS)) of the transfer rate when a packet is received at a specific communication port. 41 shows processing executed in cooperation with 41 and a predetermined program developed in a RAM (not shown).

まず、スイッチ10から送信されたパケット情報が通信手段48を介して受信されると(ステップS31)、このパケット情報から、当該パケット情報が生成されたスイッチ10のIPアドレス、当該パケット情報に係るパケットが受信された通信ポートの通信ポート識別番号が取得されるとともに(ステップS32)、この通信ポートに接続された端末のMACアドレス(MAC_Addr)、IPアドレス(IP_Addr)及び当該通信ポートにおいて受信されたパケット数(Pkts_IN)及び転送速度(Bytes_IN)に関する情報が取得される(ステップS33)。   First, when the packet information transmitted from the switch 10 is received via the communication means 48 (step S31), the IP address of the switch 10 from which the packet information is generated and the packet related to the packet information from the packet information. Is acquired (step S32), the MAC address (MAC_Addr) of the terminal connected to this communication port, the IP address (IP_Addr), and the packet received at the communication port Information about the number (Pkts_IN) and the transfer rate (Bytes_IN) is acquired (step S33).

次いで、ステップS32で取得されたスイッチ10のIPアドレス及び通信ポートの通信ポート識別番号に対応する規定のMACアドレス(MAC_RefAddr)、規定のIPアドレス(IP_RefAddr)、パケット数の下限値(thresh_min_p)、転送速度の下限値(thresh_min_b)が、指標情報442から読み出される(ステップS34)。   Next, the specified MAC address (MAC_RefAddr), the specified IP address (IP_RefAddr), the lower limit value of the number of packets (thresh_min_p), the transfer, corresponding to the IP address of the switch 10 and the communication port identification number of the communication port acquired in step S32 A lower limit value (thresh_min_b) of the speed is read from the index information 442 (step S34).

続いて、両MACアドレス(MAC_Addr)と(MAC_RefAddr)との値が一致するか否かが判定され、一致しないと判定された場合には(ステップS35;No)、ステップS39へと移行する。   Subsequently, it is determined whether or not the values of both MAC addresses (MAC_Addr) and (MAC_RefAddr) match each other. If it is determined that they do not match (step S35; No), the process proceeds to step S39.

一方、ステップS35において両MACアドレスが一致すると判定された場合には(ステップS35;Yes)、ステップS36へと移行し、両IPアドレス(IP_Addr)と(IP_RefAddr)との値が一致するか否かが判定され、一致しないと判定された場合には(ステップS36;No)、ステップS39へと移行する。   On the other hand, if it is determined in step S35 that both MAC addresses match (step S35; Yes), the process proceeds to step S36, and whether or not the values of both IP addresses (IP_Addr) and (IP_RefAddr) match. Is determined, and when it is determined that they do not match (step S36; No), the process proceeds to step S39.

一方、ステップS36において、両IPアドレスが一致すると判定された場合には)ステップS36;Yes)、ステップS37へと移行し、パケット数(Pkts_IN)とパケット数の下限値(thresh_min_p)、転送速度(Bytes_IN)と転送速度の下限値(thresh_min_b)が夫々比較される(ステップS37)。ここで、パケット数(Pkts_IN)がパケット数の下限値(thresh_min_p)以上で、且つ、転送速度(Bytes_IN)が転送速度の下限値(thresh_MIN_b)以上と判定された場合には(ステップS37;Yes)、本処理は終了する。   On the other hand, if it is determined in step S36 that both IP addresses match (step S36; Yes), the process proceeds to step S37, where the number of packets (Pkts_IN), the lower limit of the number of packets (thresh_min_p), and the transfer rate ( Bytes_IN) and the lower limit value (thresh_min_b) of the transfer rate are respectively compared (step S37). Here, when it is determined that the number of packets (Pkts_IN) is equal to or greater than the lower limit (thresh_min_p) of the number of packets and the transfer rate (Bytes_IN) is equal to or greater than the lower limit of the transfer rate (thresh_MIN_b) (step S37; Yes). This process ends.

また、ステップS37において、パケット数(Pkts_IN)がパケット数の下限値(thresh_min_p)を下回る、或いは転送速度(Bytes_IN)が転送速度の下限値(thresh_min_b)を下回ると判定された場合には(ステップS37;No)、ステップS38へと移行する。   In step S37, when it is determined that the number of packets (Pkts_IN) is lower than the lower limit value (thresh_min_p) of the number of packets, or the transfer rate (Bytes_IN) is lower than the lower limit value (thresh_min_b) of the transfer rate (step S37). No), the process proceeds to step S38.

ステップS38では、ステップS35、ステップS36又はステップS37で判定されたパケット情報に係るトラフィックが異常と判別される(ステップS38)。そして、この異常と判別されたトラフィックに係る通信ポートを備えたスイッチ10に対して、この通信ポートの転送速度(転送帯域)を抑制或いは停止させる指示情報がスイッチ10に送信されるとともに(ステップS39)、このスイッチ10の通信ポートに接続された端末20から不正なアクセスが行われた旨を報知する画面が表示手段42に表示されて(ステップS40)、本処理は終了する。   In step S38, it is determined that the traffic related to the packet information determined in step S35, step S36, or step S37 is abnormal (step S38). Then, instruction information for suppressing or stopping the transfer speed (transfer band) of the communication port is transmitted to the switch 10 having the communication port related to the traffic determined to be abnormal (step S39). ), A screen for notifying that unauthorized access has been made from the terminal 20 connected to the communication port of the switch 10 is displayed on the display means 42 (step S40), and this process ends.

このように、スイッチ10の通信ポートに関する情報に基づいてパケット情報に係るトラフィックの異常判別を行うため、特定の端末20から定常運用時の上限値を上回るパケット数が送信された場合や、定常運用時の上限値を上回る転送速度が確認された場合に、この通信に係るトラフィックを異常と判別できるため、不正アクセスの検知及び対応を迅速且つ確実に行うことができる。   As described above, in order to determine the abnormality of the traffic related to the packet information based on the information about the communication port of the switch 10, when the number of packets exceeding the upper limit value in the normal operation is transmitted from the specific terminal 20, When the transfer rate exceeding the upper limit of the time is confirmed, it is possible to determine that the traffic related to this communication is abnormal, so that unauthorized access can be detected and dealt with promptly and reliably.

なお、上記したトラフィック監視処理において統計情報が取得されるスイッチ10(スイッチ10a、10b及び10c)は、所定の順序で順次取得される態様としてもよいし、全てのスイッチ10に対して同時に取得が行われる態様としてもよい。また、統計情報の取得が行われるタイミングは任意の設定可能であるものとする。   Note that the switches 10 (switches 10a, 10b, and 10c) from which statistical information is acquired in the traffic monitoring process described above may be sequentially acquired in a predetermined order, or may be acquired simultaneously for all the switches 10. It is good also as an aspect performed. The timing at which the statistical information is acquired can be arbitrarily set.

以上のように、本実施形態によれば、定常運用時におけるトラフィックの特徴を示した指標情報442に基づいて、スイッチ10から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るスイッチ10の通信ポートの転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能であるため、システムの可用性を維持することができる。
なお、ステップS35、ステップS36、ステップS37の判定処理の順序は、上記例に限らないものとし、任意の順序で行うことが可能であるものとする。 As described above, according to the present embodiment, whether or not the traffic related to the packet information transmitted from the switch 10 is abnormal is determined based on the index information 442 indicating the characteristics of traffic during normal operation. The transfer speed of the communication port of the switch 10 related to the determined traffic is controlled. Thereby, since it is possible to detect and respond to unauthorized access quickly and reliably, the availability of the system can be maintained.
Note that the order of the determination processes in step S35, step S36, and step S37 is not limited to the above example, and can be performed in any order.

<第3の実施形態>
次に、情報システム100の第3の実施形態について説明する。なお、説明の簡略化のため、上述した第1の実施形態と同一要素については同符号を付し、その詳細な説明は適宜省略する。 <Third Embodiment>
Next, a third embodiment of the information system 100 will be described. For simplification of description, the same elements as those in the first embodiment described above are denoted by the same reference numerals, and detailed description thereof is omitted as appropriate.

図7は、本実施形態のトラフィック収集サーバ40で行われるトラフィック監視処理の手順を示した図である。本実施形態のトラフィック監視処理は、指標情報442に含まれた特定の端末(IPアドレス;IP_RefAddr)間で送信及び/又は受信されるパケット数の下限値と上限値との間の範囲を示す閾値(thresh_p_flow(PPS))、特定の端末間においてパケットが受信される際の転送速度の下限値と上限値との間の範囲を示す閾値(thresh_b_Flow(BPS))に基づいて行われる。なお、本トラフィック監視処理の各処理は、制御手段41と、不図示のRAMに展開された所定のプログラムとの協働により実行される処理を示している。   FIG. 7 is a diagram showing a procedure of traffic monitoring processing performed in the traffic collection server 40 of the present embodiment. The traffic monitoring process of the present embodiment is a threshold value indicating a range between a lower limit value and an upper limit value of the number of packets transmitted and / or received between specific terminals (IP address; IP_RefAddr) included in the index information 442. (Thresh_p_flow (PPS)) is performed based on a threshold (thresh_b_Flow (BPS)) indicating a range between a lower limit value and an upper limit value of a transfer rate when a packet is received between specific terminals. Each process of the traffic monitoring process is a process executed in cooperation with the control unit 41 and a predetermined program developed in a RAM (not shown).

まず、スイッチ10から送信されたパケット情報が通信手段48を介して受信されると(ステップS51)、このパケット情報から、当該パケット情報が生成されたスイッチ10のIPアドレス、当該パケット情報に係るパケットが受信された通信ポートの通信ポート識別番号が取得されるとともに(ステップS52)、このパケット情報に係るパケットの送信元端末及び/又は受信先端末のIPアドレス(IP_Addr)、パケット数(Pkts_Flow(PPS))、転送速度(Bytes_Flow(BPS))に関する情報が取得される(ステップS53)。   First, when the packet information transmitted from the switch 10 is received via the communication means 48 (step S51), the IP address of the switch 10 from which the packet information is generated and the packet related to the packet information are received from the packet information. Is acquired (step S52), the IP address (IP_Addr) and the number of packets (Pkts_Flow (PPS) of the source terminal and / or destination terminal of the packet related to the packet information are acquired. )), Information on the transfer rate (Bytes_Flow (BPS)) is acquired (step S53).

次いで、ステップS52で取得されたIPアドレス(IP_Addr)の端末によるパケットの送信及び/又は受信が許可されているか否かが指標情報442に基づいて判定され、許可されていないと判定された場合には(ステップS54;No)、ステップS57へと移行する。   Next, whether or not transmission and / or reception of a packet by the terminal having the IP address (IP_Addr) acquired in step S52 is permitted is determined based on the index information 442, and when it is determined that it is not permitted. (Step S54; No), the process proceeds to Step S57.

一方、ステップS54において、許可されていると判定された場合には(ステップS54;Yes)、このIPアドレス(IP_Addr)の端末間において送受信されるパケット数の閾値(thresh_p_flow)、転送速度の閾値(thresh_b_Flow)が指標情報442から読み出され(ステップS55)、パケット数(Pkts_Flow)とパケット数の閾値(thresh_flow)、転送速度(Bytes_Flow)と転送速度の閾値(thresh_b_Flow)が夫々比較される(ステップS56)。ここで、パケット数(Pkts_Flow)がパケット数の閾値(thresh_p_flow)の範囲内に適合し、且つ、転送速度(Bytes_Flow)が転送速度の閾値(thresh_b_Flow)の範囲内に適合すると判定された場合には(ステップS56;Yes)、本処理は終了する   On the other hand, if it is determined in step S54 that it is permitted (step S54; Yes), the threshold of the number of packets transmitted and received between the terminals of this IP address (IP_Addr) (thresh_p_flow), the threshold of the transfer rate ( thresh_b_Flow) is read from the index information 442 (step S55), and the number of packets (Pkts_Flow), the threshold of the number of packets (thresh_flow), the transfer rate (Bytes_Flow), and the threshold of the transfer rate (thresh_b_Flow) are compared (step S56). ). Here, when it is determined that the number of packets (Pkts_Flow) is within the range of the threshold of the number of packets (thresh_p_flow) and the transfer rate (Bytes_Flow) is within the range of the threshold of the transfer rate (thresh_b_Flow) (Step S56; Yes), this process ends.

また、ステップS56において、パケット数(Pkts_Flow)がパケット数の閾値(thresh_p_flow)の範囲内に適合しない、或いは転送速度(Bytes_Flow)が転送速度の閾値(thresh_b_Flow)の範囲内に適合しないと判定された場合には(ステップS56;No)、ステップS57へと移行する。   In step S56, it is determined that the number of packets (Pkts_Flow) does not fit within the threshold of the number of packets (thresh_p_flow), or the transfer rate (Bytes_Flow) does not fit within the range of the transfer rate threshold (thresh_b_Flow). In the case (Step S56; No), the process proceeds to Step S57.

ステップS57では、ステップS54又はステップS56で判定されたパケット情報に係るトラフィックが異常と判別される(ステップS57)。そして、この異常と判別されたトラフィックに係る通信ポートを備えたスイッチ10に対して、この通信ポートの転送速度(転送帯域)を抑制或いは停止させる指示情報がスイッチ10に送信されるとともに(ステップS58)、このスイッチ10の通信ポートに接続された端末20から不正なアクセスが行われた旨を報知する画面が表示手段42に表示されて(ステップS59)、本処理は終了する。   In step S57, it is determined that the traffic related to the packet information determined in step S54 or S56 is abnormal (step S57). Then, instruction information for suppressing or stopping the transfer rate (transfer band) of the communication port is transmitted to the switch 10 having the communication port related to the traffic determined to be abnormal (step S58). ) A screen notifying that unauthorized access has been made from the terminal 20 connected to the communication port of the switch 10 is displayed on the display means 42 (step S59), and this process ends.

このように、内部ネットワークLAN内において予め定められた各端末20のトラフィック特性に基づいてトラフィックの異常判別を行うため、所定の端末20間以外でパケットの送受信が行われた場合や、所定の端末20間において定常運用時の閾値を超えるパケット数が送信された場合、所定の端末20間において定常運用時の閾値を超える転送速度が確認された場合に、この通信に係るトラフィックを異常と判別できるため、不正アクセスの検知及び対応を迅速且つ確実に行うことができる。   In this way, in order to determine traffic abnormality based on the traffic characteristics of each terminal 20 determined in advance within the internal network LAN, when packets are transmitted / received between other than the predetermined terminals 20, When the number of packets exceeding the threshold for normal operation is transmitted between 20 and when the transfer rate exceeding the threshold for normal operation is confirmed between predetermined terminals 20, traffic related to this communication can be determined as abnormal. Therefore, unauthorized access can be detected and dealt with quickly and reliably.

以上のように、本実施形態によれば、定常運用時におけるトラフィックの特徴を示した指標情報442に基づいて、スイッチ10から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るスイッチ10の通信ポートの転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能であるため、システムの可用性を維持することができる。   As described above, according to the present embodiment, whether or not the traffic related to the packet information transmitted from the switch 10 is abnormal is determined based on the index information 442 indicating the characteristics of traffic during normal operation. The transfer speed of the communication port of the switch 10 related to the determined traffic is controlled. Thereby, since it is possible to detect and respond to unauthorized access quickly and reliably, the availability of the system can be maintained.

なお、上述した第1の実施形態〜第3の実施形態のトラフィック監視処理は、送受信されるパケット数、転送速度がある程度一様であり、また特定の端末間においてのみパケットが送受信されるような静的なトラフィック環境を有するプラント情報システムにおいて特に好適である。なお、第1の実施形態〜第3の実施形態のトラフィック監視処理の全てがトラフィック収集サーバ40で実行されることとしてもよい。また、トラフィック監視処理におけるトラフィックの異常判別方法に関しては、情報システム100のシステム構成に適合する任意の条件を適宜追加、変更することが可能であるものとする。   The traffic monitoring processing of the first to third embodiments described above is such that the number of packets to be transmitted and received and the transfer rate are uniform to some extent, and packets are transmitted and received only between specific terminals. It is particularly suitable for a plant information system having a static traffic environment. Note that all the traffic monitoring processes of the first to third embodiments may be executed by the traffic collection server 40. In addition, regarding the traffic abnormality determination method in the traffic monitoring process, it is possible to add or change any conditions suitable for the system configuration of the information system 100 as appropriate.

本発明の適用は、上述した例に限らず、本発明の趣旨を逸脱しない範囲で適宜変更可能である。   The application of the present invention is not limited to the example described above, and can be changed as appropriate without departing from the spirit of the present invention.

例えば、上記実施形態では、トラフィック収集サーバ40がトラフィック解析手段45、異常判別手段46及び異常対応手段47を備えた態様を説明したが、これに限らず、トラフィック収集サーバ40のデータベース441に接続可能な他の装置が、トラフィック解析手段45、異常判別手段46、異常対応手段47の何れか又は全てを備える態様としてもよい。
例えば、図8に示すように、複数の内部ネットワークLAN1〜3の夫々に、トラフィック解析手段45及び異常判別手段46を備えたトラフィック収集サーバ40を設置し、各トラフィック収集サーバ40の異常判別手段46から送信されるトラフィックの異常を示す異常判別情報を外部ネットワークWANの遠隔監視装置50が送信可能な構成としてもよい。この場合、遠隔監視装置50に異常対応手段47を備えることで、異常判別手段46から送信された異常判別情報に応じて内部ネットワークLAN1〜3に接続されたスイッチ10(不図示)の転送速度を遠隔的に変更することが可能となる。 For example, in the above embodiment, the aspect in which the traffic collection server 40 includes the traffic analysis unit 45, the abnormality determination unit 46, and the abnormality handling unit 47 has been described. However, the present invention is not limited thereto, and the database 441 of the traffic collection server 40 can be connected. The other device may include any or all of the traffic analysis unit 45, the abnormality determination unit 46, and the abnormality handling unit 47.
For example, as shown in FIG. 8, a traffic collection server 40 having a traffic analysis unit 45 and an abnormality determination unit 46 is installed in each of the plurality of internal networks LAN 1 to 3, and the abnormality determination unit 46 of each traffic collection server 40 is installed. The remote monitoring device 50 of the external network WAN may transmit the abnormality determination information indicating the abnormality of the traffic transmitted from the external network WAN. In this case, by providing the remote monitoring device 50 with the abnormality handling means 47, the transfer speed of the switch 10 (not shown) connected to the internal networks LAN1 to 3 according to the abnormality determination information transmitted from the abnormality determination means 46 is set. It can be changed remotely.

これにより、上記実施の形態と同様の効果を奏するのはもちろんのこと、複数の内部ネットワークLANサイトを外部ネットワークWANから同時に監視することができるため、トラフィック監視に係るコストを削減することが可能となる。特に、プラント制御に係るプラント情報システムにおいては、IPネットワーク技術に関する専門家も少なく、また、プラント運営にとっても非競争領域であることから専門家を育てることのインセンティブが働きにくいという実情がある。そのため、遠隔的に異常監視が行うことができれば、トラフィック監視業務のアウトソーシングが可能となるため、プラント運営側にとってはコストの削減、トラフィック監視業務側にとっては新たなサービス業務の提携が可能になるという効果を奏する。   As a result, the same effects as in the above embodiment can be obtained, and a plurality of internal network LAN sites can be simultaneously monitored from the external network WAN, so that the cost for traffic monitoring can be reduced. Become. In particular, in plant information systems related to plant control, there are few specialists related to IP network technology, and there is a fact that incentives for training specialists are difficult to work because it is a non-competitive area for plant operation. Therefore, if anomaly monitoring can be performed remotely, it will be possible to outsource the traffic monitoring business, which will enable cost reduction for the plant operation side and new service business alliance for the traffic monitoring business side. There is an effect.

また、上記実施の形態では、スイッチ10のみが統計情報を生成し送信する態様としたが、これに限らず、ルータ30等の他のネットワーク機器が、パケットサンプリング手段11、パケット情報生成手段12及びパケット情報送信手段13を備えることで、他のネットワーク機器が統計情報の生成、送信を行う態様としてもよい。例えば、図9に示すように、無線通信により内部ネットワークLAN内に接続された各機器との通信を可能にせしめる無線基地局60が内部ネットワークLANに接続されているような場合には、この無線基地局60に、当該無線基地局60と無線通信可能な端末との間で授受される通信の統計情報を生成可能な機能を備えることが好ましい。   In the above embodiment, only the switch 10 generates and transmits the statistical information. However, the present invention is not limited to this, and other network devices such as the router 30 may include the packet sampling unit 11, the packet information generation unit 12, and the like. By providing the packet information transmitting unit 13, another network device may generate and transmit statistical information. For example, as shown in FIG. 9, when a wireless base station 60 that enables communication with each device connected in the internal network LAN by wireless communication is connected to the internal network LAN, this wireless The base station 60 is preferably provided with a function capable of generating statistical information of communication exchanged between the radio base station 60 and a terminal capable of radio communication.

また、IPSec等の暗号化通信でパケットの送受信が行われる場合、通信ポート識別番号は暗号化されてしまうが、IPv4ヘッダのTOS(Type Of Service)フィールドや、IPv6ヘッダのTraffic Classフィールドを利用し、このフィールドに通信ポート識別番号を格納してパケットを送信することで、トラフィック収集サーバ40にて通信ポート識別番号を識別することが可能となる。   In addition, when packets are transmitted and received by encrypted communication such as IPSec, the communication port identification number is encrypted, but the TOS (Type Of Service) field of the IPv4 header and the Traffic Class field of the IPv6 header are used. By storing the communication port identification number in this field and transmitting the packet, the traffic collection server 40 can identify the communication port identification number.

情報システムの構成を示した図である。It is the figure which showed the structure of the information system. スイッチの内部構成を示した図である。It is the figure which showed the internal structure of the switch. トラフィック収集サーバの内部構成を示した図である。It is the figure which showed the internal structure of the traffic collection server. パケット転送処理の手順を示したフローチャートである。It is the flowchart which showed the procedure of the packet transfer process. 第1の実施形態におけるトラフィック監視処理の手順を示したフローチャートである。It is the flowchart which showed the procedure of the traffic monitoring process in 1st Embodiment. 第2の実施形態におけるトラフィック監視処理の手順を示したフローチャートである。It is the flowchart which showed the procedure of the traffic monitoring process in 2nd Embodiment. 第3の実施形態におけるトラフィック監視処理の手順を示したフローチャートである。It is the flowchart which showed the procedure of the traffic monitoring process in 3rd Embodiment. 情報システムの他の態様における構成を示した図である。It is the figure which showed the structure in the other aspect of an information system. 情報システムの他の態様における構成を示した図である。It is the figure which showed the structure in the other aspect of an information system. 従来の情報システムの構成を示した図である。It is the figure which showed the structure of the conventional information system. 従来の情報システムにおいて、ファイアウォールにより不正アクセスの検知が行われる際の手順を示したフローチャートである。It is the flowchart which showed the procedure at the time of detecting unauthorized access by a firewall in the conventional information system. 従来の情報システムにおいて、各端末により不正アクセスの検知が行われる際の手順を示したフローチャートである。It is the flowchart which showed the procedure at the time of detecting unauthorized access by each terminal in the conventional information system.

符号の説明Explanation of symbols

100 情報システム
10 スイッチ
11 パケットサンプリング手段
12 パケット情報生成手段
13 パケット情報送信手段
14 スイッチング手段
20 端末
30 ルータ
40 トラフィック収集サーバ
41 制御手段
42 表示手段
43 操作手段
44 記憶手段
441 データベース
442 指標情報
45 トラフィック解析手段
46 異常判別手段
47 異常対応手段
48 通信手段
49 制御バス
50 遠隔監視装置
60 無線基地局
FW ファイアウォール
LAN、LAN1、LAN2、LAN3 内部ネットワーク
WAN 外部ネットワーク DESCRIPTION OF SYMBOLS 100 Information system 10 Switch 11 Packet sampling means 12 Packet information generation means 13 Packet information transmission means 14 Switching means 20 Terminal 30 Router 40 Traffic collection server 41 Control means 42 Display means 43 Operation means 44 Storage means 441 Database 442 Index information 45 Traffic analysis Means 46 Abnormality determination means 47 Abnormality correspondence means 48 Communication means 49 Control bus 50 Remote monitoring device 60 Wireless base station FW Firewall LAN, LAN1, LAN2, LAN3 Internal network WAN External network

Claims (7)

複数の通信ポートに夫々接続される一又は複数の端末から送信されたパケットを他の端末に転送するスイッチング手段と、前記送信されたパケットに関するパケット情報を生成するパケット情報生成手段と、前記生成されたパケット情報を送信するパケット情報送信手段とを備えたネットワーク機器と、前記ネットワーク機器から送信されたパケット情報を記憶するトラフィック収集サーバと、を有した情報システムであって、
前記収集サーバは、定常運用時におけるトラフィックの特徴を示した指標情報を記憶する指標情報記憶手段と、前記記憶された指標情報と前記受信されたパケット情報とに基づいて当該パケット情報に係るトラフィックが異常か否かを判別する異常判別手段と、前記異常判別手段により異常と判別されたトラフィックに係るネットワーク機器の通信ポートの転送速度を変更する指示情報を生成し、当該ネットワーク機器に送信する異常対応手段と、を備え、
前記転送手段は、前記異常対応手段からの指示情報に基づいて、当該指示情報で指示された前記通信ポートの転送速度を制御することを特徴とする情報システム。 Switching means for transferring packets transmitted from one or a plurality of terminals respectively connected to a plurality of communication ports to other terminals, packet information generating means for generating packet information relating to the transmitted packets, and the generated An information system comprising: a network device provided with packet information transmitting means for transmitting the packet information; and a traffic collection server for storing packet information transmitted from the network device,
The collection server stores index information storage means for storing index information indicating characteristics of traffic during normal operation, and traffic related to the packet information based on the stored index information and the received packet information. An abnormality determination unit that determines whether or not there is an abnormality, and an abnormality response that generates instruction information for changing the transfer speed of the communication port of the network device related to the traffic determined to be abnormal by the abnormality determination unit, and transmits the instruction information to the network device Means, and
The transfer means controls the transfer speed of the communication port indicated by the instruction information based on the instruction information from the abnormality handling means. 前記収集サーバは、前記記憶された複数のパケット情報から前記指標情報を生成し、前記指標情報記憶手段に記憶させるトラフィック解析手段を備えたことを特徴とする請求項1に記載の情報システム。   The information system according to claim 1, wherein the collection server includes a traffic analysis unit that generates the index information from the stored packet information and stores the index information in the index information storage unit. 前記パケット情報は、当該パケット情報を生成したネットワーク機器の識別情報、当該ネットワーク機器においてパケットが送信及び/又は受信された通信ポートの識別情報、前記パケットの送信元端末及び受信先端末の識別情報、前記パケットのパケットサイズ、前記パケットのヘッダ部に含まれたヘッダ情報、前記パケット情報の生成日時を示すタイムスタンプ、前記パケットのプロトコル種別に関する情報を少なくとも含むことを特徴とする請求項1又は2に記載の情報システム。   The packet information includes identification information of a network device that has generated the packet information, identification information of a communication port in which the packet is transmitted and / or received in the network device, identification information of a transmission source terminal and a reception destination terminal of the packet, 3. The packet size of the packet, header information included in a header portion of the packet, a time stamp indicating a generation date and time of the packet information, and information regarding a protocol type of the packet are at least included. The described information system. 前記指標情報は、前記ネットワーク機器における特定の通信ポートにおいて送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の通信ポートにおいてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値、特定の通信ポートに接続される前記端末の識別情報の何れか又は全てを含むことを特徴とする請求項1に記載の情報システム。   The index information includes an upper limit value and / or a lower limit value of the number of packets transmitted and / or received at a specific communication port in the network device, and a transfer rate when packets are transmitted and / or received at the specific communication port. 2. The information system according to claim 1, comprising any one or all of an upper limit value and / or a lower limit value and identification information of the terminal connected to a specific communication port. 前記指標情報は、前記複数の端末のうち、特定の端末間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、前記特定の端末間においてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値の何れか又は全てを含むことを特徴とする請求項1又は4に記載の情報システム。   The index information includes an upper limit value and / or a lower limit value of the number of packets transmitted and / or received between specific terminals among the plurality of terminals, and packets are transmitted and / or received between the specific terminals. 5. The information system according to claim 1, wherein the information system includes any or all of an upper limit value and / or a lower limit value of the transfer rate. 前記指標情報は、前記複数の端末間のうち、特定の端末間において予め定められた前記パケットの送信及び/又は受信に関する設定を含むことを特徴とする請求項1、4又は5に記載の情報システム。   6. The information according to claim 1, 4 or 5, wherein the index information includes a setting related to transmission and / or reception of the packet that is predetermined between specific terminals among the plurality of terminals. system. 前記ネットワーク機器は、前記端末から送信されたパケットから一のパケットを所定のタイミング毎に抽出するパケットサンプリング手段を備え、
前記パケット情報生成手段は、前記抽出されたパケットのパケット情報を生成することを特徴とする請求項1に記載の情報システム。 The network device comprises a packet sampling means for extracting one packet from a packet transmitted from the terminal at a predetermined timing,
The information system according to claim 1, wherein the packet information generation unit generates packet information of the extracted packet.
JP2005259359A 2005-09-07 2005-09-07 Information system Pending JP2007074383A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005259359A JP2007074383A (en) 2005-09-07 2005-09-07 Information system
PCT/JP2006/312236 WO2007029396A1 (en) 2005-09-07 2006-06-19 Information system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005259359A JP2007074383A (en) 2005-09-07 2005-09-07 Information system

Publications (1)

Publication Number Publication Date
JP2007074383A true JP2007074383A (en) 2007-03-22

Family

ID=37835527

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005259359A Pending JP2007074383A (en) 2005-09-07 2005-09-07 Information system

Country Status (2)

Country Link
JP (1) JP2007074383A (en)
WO (1) WO2007029396A1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009017393A (en) * 2007-07-06 2009-01-22 Ntt Docomo Inc Traffic monitoring system
JP2010011382A (en) * 2008-06-30 2010-01-14 Fujitsu Ltd Communication device and communication method
JP2014060722A (en) * 2012-09-18 2014-04-03 Kddi Corp System and method for correlating historical attacks with diverse indicators to generate indicator profiles of attacks for detecting and predicting future network attacks
EP2991272A1 (en) 2014-08-27 2016-03-02 Yokogawa Electric Corporation Data transferring system, data transferring method, controller, controlling method, and non-transitory computer readable storage medium
US10397248B2 (en) 2015-09-15 2019-08-27 Fujitsu Limited Method and apparatus for monitoring network
JP2020053928A (en) * 2018-09-28 2020-04-02 アズビル株式会社 Unauthorized access monitoring device and method
JP2021503191A (en) * 2018-10-01 2021-02-04 コリア ウォーター リソーシ コーポレーションKorea Water Resources Corporation L2 switch for network security and remote monitoring control system using it

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2297341A1 (en) * 1999-08-18 2001-02-18 Alma-Baba Technical Research Laboratory Co., Ltd. System for monitoring network for cracker attack
JP3731111B2 (en) * 2001-02-23 2006-01-05 三菱電機株式会社 Intrusion detection device and system and router
JP2004282262A (en) * 2003-03-13 2004-10-07 Mitsubishi Electric Corp Load attack guard apparatus
JP4341413B2 (en) * 2003-07-11 2009-10-07 株式会社日立製作所 PACKET TRANSFER APPARATUS HAVING STATISTICS COLLECTION APPARATUS AND STATISTICS COLLECTION METHOD
JP2005223847A (en) * 2004-02-09 2005-08-18 Intelligent Cosmos Research Institute Network abnormality detecting device and method, and network abnormality detecting program

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009017393A (en) * 2007-07-06 2009-01-22 Ntt Docomo Inc Traffic monitoring system
JP2010011382A (en) * 2008-06-30 2010-01-14 Fujitsu Ltd Communication device and communication method
JP2014060722A (en) * 2012-09-18 2014-04-03 Kddi Corp System and method for correlating historical attacks with diverse indicators to generate indicator profiles of attacks for detecting and predicting future network attacks
EP2991272A1 (en) 2014-08-27 2016-03-02 Yokogawa Electric Corporation Data transferring system, data transferring method, controller, controlling method, and non-transitory computer readable storage medium
US10104014B2 (en) 2014-08-27 2018-10-16 Yokogawa Electric Corporation Data transferring system, data transferring method, controller, controlling method, and non-transitory computer readable storage medium
US10397248B2 (en) 2015-09-15 2019-08-27 Fujitsu Limited Method and apparatus for monitoring network
JP2020053928A (en) * 2018-09-28 2020-04-02 アズビル株式会社 Unauthorized access monitoring device and method
JP7125317B2 (en) 2018-09-28 2022-08-24 アズビル株式会社 UNAUTHORIZED ACCESS MONITORING DEVICE AND METHOD
JP2021503191A (en) * 2018-10-01 2021-02-04 コリア ウォーター リソーシ コーポレーションKorea Water Resources Corporation L2 switch for network security and remote monitoring control system using it

Also Published As

Publication number Publication date
WO2007029396A1 (en) 2007-03-15

Similar Documents

Publication Publication Date Title
EP1964366B1 (en) Methods and devices for defending a 3g wireless network against malicious attacks
Xue et al. Linkscope: Toward detecting target link flooding attacks
US8584237B2 (en) Improper communication detection system
JP4827972B2 (en) Network monitoring device, network monitoring method, and network monitoring program
US20150067764A1 (en) Whitelist-based network switch
WO2016172055A1 (en) Network security analysis for smart appliances
JP2007074383A (en) Information system
JP5017440B2 (en) Network control apparatus and control method thereof
EP1906591A2 (en) Method, device and system for detecting layer 2 loop
KR100947211B1 (en) System for active security surveillance
Segura et al. Centralized and distributed intrusion detection for resource-constrained wireless SDN networks
EP3286650B1 (en) Network security analysis for smart appliances
WO2020027250A1 (en) Infection spread attack detection device, attack origin specification method, and program
Giachoudis et al. Collaborative agent-based detection of DDoS IoT botnets
WO2020132949A1 (en) Industrial control system monitoring method, device and system, and computer-readable medium
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
KR20220029142A (en) Sdn controller server and method for analysing sdn based network traffic usage thereof
US20210234871A1 (en) Infection-spreading attack detection system and method, and program
JP2007074385A (en) Network apparatus
JP2008079138A (en) Communication monitoring system, flow collection apparatus, analysis manager apparatus, and program
Matoušek et al. Security monitoring of iot communication using flows
Heigl et al. A resource-preserving self-regulating Uncoupled MAC algorithm to be applied in incident detection
KR101448091B1 (en) Wireless Sensor Network Security Method with Security Attack Detection and Security System using the same
JP4421462B2 (en) Intrusion detection system and management device
KR101021697B1 (en) Method detecting botnet attack